在数据中心IT基础架构当中,对於运算、储存、网络等资源的虚拟化,以及朝向软件定义式(Software Defined)的作法,是近年来云端服务业者、企业与IT厂商积极投入的范畴,不过,在这当中,又以网络应用相关技术的发展与普及最为缓慢。
例如,软件定义网络(SDN),以及网络功能虚拟化(NFV),虽然在技术概念的构成、解决方案的提供,以及建置经验的累积,已渐趋成熟,但仅能吸引本身具有超大型且架构复杂的内部网络、需支援多租户服务应用型态的公司,例如大型企业、电信服务供应商,以及云端服务业者。
而另一个因素,则在於大部分企业现有内部网络环境的架构,涉及所有的应用系统之间的连接与存取方式,若有异动,往往牵一发而动全身,因此,也让有心引进SDN与NFV的企业为之却步。
但是,难道这些年所发展的各种软件定义网络技术,就只能造福特定产业吗?或许,我们该换个角度去思考当前企业在整体网络应用的需求,到底还有哪些层面需要改善,却一直受到忽视,此时,就有可能就会看到不同的机会。
而关於这个问题的答案,很可能就是企业对於广域网络(Wide Area Network,WAN)的使用与管理。
广域网络结合SDN与否的差异比较
传统的广域网络架构当中,企业若要设定交换器与路由器,都是基於每台设备,而且需透过手动方式进行。而在软件定义的广域网络架构,企业可透过控制器来掌控整个网络环境的配置。
广域网络架构发展的历程:从传统走向混合,如今将提升到软件定义
对於多数企业来说,连接外部网络并非只是为了存取网际网络,在很多时候,也是为了连结位於公司外部据点的网络环境,例如分公司、分支办公室,跨越地理区域的距离。不过,随着网际网络的连线频宽日渐增高、成本下滑,许多企业也希望善用这部份线路的优势,降低本身对於昂贵专线的依赖,而这也促成了企业广域网络架构的改变。
传统广域网络
过往新兴企业级网络技术所发展的重点,大多是针对内部环境当中的区域网络(LAN)应用,多年以来,企业对於广域网络的运用,主要是针对总部与远端办公室、分公司之间的网络环境连结,而且仰赖的是电信服务供应商的专线,并在这样跨国网络连线之上,架构出单一的内部区域网络,而目前,最普遍的作法是透过MPLS(Multiprotocol Label Switching),连接企业的数据中心与其他地区的公司据点,在彼此之间,建立私有的安全连线。
混合广域网络
上述作法已行之有年,但如今不论是个人、家用或企业,想要连接外部网际网络的门槛越来越低,而且,所能享有的频宽大幅提高,连线费用也日益低廉,因此,後来,市面上开始出现结合专线(例如:T1/T2/T3)与网际网络(例如:ADSL、3G/4G LTE)一起使用的作法,而这种架构,我们通常称之为混合广域网络(Hybrid WAN)。
不过,混合广域网络的应用,起初的重点在於如何有效运用不同的网络连线,配置的作法以分流为主要考量。
例如,多数企业会将分支办公室连往数据中心的业务应用网络流量,由专线来负责;至於分支办公室连到网际网络的流量,可透过当地的宽频网络来负责,而不需全部连至数据中心,再从这里接取网际网络,同时,经由这条更直接的对外网络连线路径,分支办公室也可以透过VPN与数据中心连线。
导入混合广域网络的另一个好处,则是能使用进阶的可用性模式。传统的广域网络,只能采取主动-被动(Active-Passive)的备援线路切换,所有线路的频宽都必须一样大,但备援线路在平时是待命、闲置不用的,而混合广域网络可以支援双主动(Active-Active)的模式,充分运用所有线路的频宽。
另外,在混合广域网络环境下,也可以使用路径选择(Path Selection)的技术,例如,根据即时监控的频宽负载与反应速度,来决定对外网络连线应采取的最佳路径。
然而,混合广域网络的应用,虽然带来了一些效益,仍有许多不足之处,而这些部分的要求,更是传统广域网络架构所做不到的。
例如,混合广域网络虽然能够同时搭配网际网络连线使用,但无法确保与提升这类线路的服务等级协定(SLA),难以增加可靠度;其次,在混合广域网络设备与传统广域网络设备上,未必都未内建防护机制,必须要搭配其他资安系统来强化安全性,例如防火墙、网络入侵防御系统;另外,混合广域网络设备与传统广域网络设备本身提供的自动化处理与组态设定功能,也相当稀少,甚至根本没有,导致部署与维护的作业,皆需大量仰赖人工操作。
而且最近几年以来,上述广域网络架构的局限所导致的不便,越来越明显。
首先,是企业内部使用者直接连到网际网络的需求大增,不论是在公司总部或分支办公室。部分原因来自於当前企业采用公有云服务的比例增高,员工越来越常存取企业租用的软件即服务(SaaS),以及位於基础架构即服务(IaaS)的应用系统。
而面对这样的改变,拥有多个据点的跨国企业,在广域网络的配置上,如果仍维持传统架构——所有对外的网络流量先连回总公司网络,再连至网际网络,可用的网络频宽,势必越来越吃紧,尤其是分支办公室的网络传输速度,也会被拖累。但如果采用混合广域网络的架构来因应,在整体资安防护上,可能必须在分支办公室额外部署相关设备,才能避免威胁趁虚而入,这麽一来,企业往往也必须特别外派IT人员前往当地,进行网络的安装、设定,导致人力、交通、时间等种种支出的增加。
因此,采用混合广域网络的架构,显然还是无法完全满足跨国企业网络环境的存取需求。
SD-WAN的基本架构
软件定义广域网络与混合广域网络的共通点,都是结合多种对外连线,例如:网络专线、宽频网际网络、无线网络,但软件定义广域网络的差异在於,管理网络能够做到更自动化、可程式化的程度,而且流量可根据网络状态、安全性、应用程式服务品质的需求,自动、动态地进行转送。
混合广域网络发展历程
若从混合广域网络来看,架构变化有下列阶段。
早期是以MPLS IP VPN,搭配集中式网际网络分流,之後,演进到可支援当地网际网络分流的做法。
接着,发展出搭配MPLS和网际网络,进行双主动流量负载分摊,以及基於政策的路由。随後,发展出基於安全性与网络效能的路由。到了最近,则是结合软件定义网络与网络功能虚拟化的技术。
软件定义广域网络
面对传统广域网络与混合广域网络的局限,一些厂商开始基於本身的技术强项,发展其他的作法,在此同时,受到软件定义网络技术持续发展的影响,这样的概念也逐渐应用到广域网络环境当中,产生了新的架构,一般称为软件定义广域网络(Software-Defined WAN,SD-WAN),而且强调能够同时解决效能、安全性不足的问题。
基本上,SD-WAN是基於软件化的扁平式网络架构,以及虚拟化技术而成,而不是单靠专属硬体设备提供的功能,而且,这样的软件定义网络环境,通常会有下列特性:
- 已区隔出资料平面(Data Plane),以及控制平面(Control Plane)
- 提供集中控管的机制
- 具有更为简易、好用的可程式化(Programmable)功能
因此,对於广域网络连线选择与组态设定的控制,都是透过政策实施的方式进行。
与现行SDN相比,SD-WAN建置架构的元件也分为:控制器(Controller),以及存取节点(Access Node)、边缘节点(Edge Node),或是闸道器(Gateway);甚至,在控制器之外,会另行设立调度器(Orchestrator)。
而在这些元件当中,各家厂商对於控制器的所在位置会有不同的作法,例如,有些产品的SD-WAN控制器是独立设置在企业数据中心网络环境当中,甚至是在厂商代管的云端服务上,有些则是全部结合在一起,并且部署在总部与分支办公室的网络环境之中。
无论如何,针对广域网络的应用,得到更强大的集中控管能力,应该是SD-WAN最吸引企业使用的部分。因为,在这样的架构下,企业不仅可以监控对外网络传输的服务等级与路径选择,同时,能更清楚掌握广域网络的效能与频宽使用的情况。
除了网络传输效能的控管,这样的集中控管,也能够针对分支据点的联外网络环境,提供企业等级的资安防护机制,例如,直接整合防火墙的功能,套用状态检测(Stateful Inspection),甚至结合深度封包检测(Deep Packet Inspection)的方式,来阻挡、过滤恶意软件、骇客攻击;或者能够透过服务链(Service Chaining)的方式,设定网络流量的流向,强制需经过多种负载处理与防护机制,例如依序通过防火墙、网络入侵防御系统的检测。
SD-WAN还有一个先前作法难以达到的效益,那就是能够更快速地在公司外部据点部署网络。只要当地的网际网络速度与频宽足够,企业可以将SD-WAN的存取节点/边缘节点/闸道器设备寄送过去,再请当地人员插上电源、连上网际网络,就会自动进行组态设定,并且连至SD-WAN控制器进行注册登录的程序,接下来,位於企业总部的IT人员就可以对当地的网络环境,实施统一控管与监督。
像这样的快速建置功能,称为自动部署(Zero Touch Deployment),在多数SD-WAN的解决方案中,都已提供。
SD-WAN的网络适用性与功能层级
SD-WAN可适用於不同的企业广域网络环境,包含驻外据点、分公司、数据中心,并且支援MPLS专线、DSL与Cable宽频网络。
而且,由於SD-WAN已将网络服务的控制平面(Control Plane)拆分出去,企业可藉此实现更多的控制与虚拟服务,以及再上一层的业务政策与资源调度指挥。
SD-WAN後势看涨,厂商争相投入,堪称企业SDN杀手级应用
在应用需求与功能提供的部分,SD-WAN的采用的确有快速发展的机会,而一些市场调查研究机构,也提出了相当乐观的预测。
例如,根据IDC在2016年的预估,全球SD-WAN市场在2020年可望达到60亿美元的规模,年度复合成长率超过90%。他们估算2015年的SD-WAN市场规模为2.25亿美元,预计2016年是5.95亿美元,2017年逼近14亿美元,到了2018年将超过26亿美元。
至於在未来12到18个月内计画采用SD-WAN的企业,在IDC的调查里面显示,整体而言,已经高达62%(在1千到5千人规模的企业当中,计画采用的比例更是接近7成)
而Gartner在今年3月发布的市场指南里面,也提到SD-WAN的采用率可能会大幅增加。到了2017年底,在广域网络边缘基础架构(WAN edge infrastructure)的更新上,他们认为,若是基於虚拟客户端驻地设备平台,或是软件定义广域网络的软件/应用设备,会有超过40%的比例,而采用传统路由器的比例,成长不到5%。
值得注意的是,SD-WAN的发展与使用,不只是牵涉到开发产品与技术的「厂商」,以及采用解决方案的「企业」,也将包括提供代管业务与平台的「服务供应商」。
根据IDC的全球SD-WAN市场预估,在云端服务供应商(CSP)提供的SD-WAN代管服务,市场规模的年复合成长率将近212%,而基於云端服务平台而管理(cloud-managed)的SD-WAN服务,市场规模的年复合成长率将近208%。
而之所以会有这样惊人的成长幅度,IDC认为,SDWAN服务在接下来几年内,将会取代部分MPLS VPN代管服务,以及IPsec VPN服务,并且扩大VPN与广域网络的整体市场,尤其到了2019、2020年,如何满足企业对於云端服务的连线需求,将会是代管式SD-WAN服务发展的关键。
企业广域网络设备面临大转型
企业本身连接网络的设备,在过去条理分明,区隔为交换器、路由器、广域网络最佳化、防火墙/UTM、整合通讯。然而,随着云端服务的崛起,以及软件定义网络、网络功能虚拟化技术的发展,广域网络的应用逐渐区分为云服务、SD-WAN,以及vCPE。
驻外据点采用传统WAN与SD-WAN的不同
在传统的广域网络架构下,驻外据点若要连至网际网络与企业数据中心,大量仰赖MPLS专线或透过网际网络线路的VPN,在这样的情况下,几乎无法有其他备援的广域网络线路可用。而在软件定义广域网络的环境当中,企业可以将驻外据点的专线,用於关键应用系统,以及需要严格确保服务品质的应用系统的网络连接,而其他应用与备援的广域网络的连线服务,都可以透过网际网络或代管广域网络的公有云服务来提供。
